Die Landesdatenschutzbeauftragte von Nordrhein-Westfalen, Bettina Gayk, hat ein Bußgeld in Höhe von 35.000 Euro gegen eine Personalvermittlung in Düsseldorf verhängt. Es ging um DSGVO-Auskünfte durch Nutzer und um (nicht) Löschung der persönlichen Daten.
Gelegentlich greift die Landesdatenschutzbeauftragte (LDI NRW) von Nordrhein-Westfalen, Bettina Gayk, ja bei Unternehmen, die hinsichtlich der DSGVO kräftig über die Stränge schlagen, durch und startet eine Prüfung und/oder verhängt am Ende sogar ein Bußgeld. Mir ist noch der Blog-Beitrag Datenkartell aufgeflogen: Versicherer teilen persönliche Versichertendaten im Hinterkopf, wo Auslandskrankenversicherungen zur "Betrugsprävention" kräftig Daten untereinander teilten. Aktuell weiß ich nicht, ob das eingeleitete Prüfverfahren bereits beendet wurde.
Beim WDR habe ich in diesem Artikel mitbekommen, dass Wetter Online unberechtigt Standortdaten von Nutzern und Nutzerinnen erfasste und weiter verkaufte. Dies wurde zunächst bestritten, konnte aber bei einer Vorort-Prüfung durch die LDI NRW nachgewiesen werden. Basis ist der Tätigkeitsbericht 2024 der LDI.
Personalvermittlung ignoriert DSGVO
Getreu dem Motto: "Tue was und berichte darüber", hat die Landesbeauftragte für Datenschutz und Informationsfreiheit von Nordrhein-Westfalen (LDI NRW), Bettina Gayk, bei einem Unternehmen durchgegriffen und ein Bußgeld verhängt. Der Hintergrund des Ganzen: Bei der LDI NRW waren zahlreiche Beschwerden von Personen gegen ein Unternehmen im Bereich Personalvermittlung eingegangen. Die Beschwerdeführer hatten sich nach meiner Interpretation bei diesem Unternehmen für die Vermittlung eingetragen, bekamen aber wohl weit nach Beendigung der Vermittlungstätigkeit, noch Benachrichtigungen des Unternehmens.
Die Arbeitskräfte stellten beim Unternehmen Auskunftsersuchen nach DSGVO und wollten wissen, ob und welche Daten das Unternehmen von ihnen verarbeitet hatte. Außerdem verlangten einige der Personen die Löschung ihrer Daten.
Die Firma ignorierte jedoch nicht nur die zu Recht geltend gemachten Ansprüche der Beschwerdeführer. Sie reagierte auch nicht auf Schreiben der LDI NRW, in denen sie um Auskunft gebeten und über die Pflicht aufgeklärt wurde, die Rechte der Betroffenen zu wahren.
"Dabei sind Unternehmen zur Kooperation mit uns gesetzlich verpflichtet", betont Gayk. Wie forsch frech das Unternehmen vorging, zeigen laut LDI Fälle, in denen den betroffenen Personen zunächst sogar mitgeteilt wurde, dass man ihre Daten gelöscht habe. Trotzdem erhielten sie weiter über diese Daten Newsletter-Werbung der Firma.
Einen ähnlichen Fall hatte mir ein Leser im Zusammenhang mit der Telekom geschildert. Obwohl seit über 10 Jahren kein Telekom-Kunde mehr, bekam er Mails des Unternehmens. Hier bedurfte es mehrerer Schreiben an den Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) – der BfDI ist für Telekommunikation zuständig – bis die Angelegenheit bereinigt war. Aber die Telekom hat reagiert und war willig, die Daten zu löschen.
Es gibt ein Bußgeld
Die Personalvermittlung hatte nicht nur die Datenschutzrechte der Arbeitssuchenden konstant ignoriert, sondern auch Aufforderungen der Landesbeauftragten (LDI NRW) als Aufsichtsbehörde, schreibt die LDI NRW. "Solch dreistes Verhalten nimmt leider zu", so Gayk. "Umso wichtiger ist es, dass wir als Aufsichtsbehörde konsequent dagegen vorgehen, und zwar mit allen Instrumenten, die uns zur Verfügung stehen."
"Ignoranz beim Datenschutz zahlt sich nicht aus.", schreibt Bettina Gayk, und hat als Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW ein Bußgeld von über 35.000 Euro – als klare Botschaft "so nicht" – gegen ein Unternehmen aus Düsseldorf verhängt.
Landesbeauftragte Gayk: "Diese Beispiele zeigen, wie wichtig es ist, eine wirkungsvolle Aufsichtsbehörde zu haben. Datenschutz darf nicht von der Willkür Einzelner abhängig sein."
MVP: 2013 – 2016
Meldungen an verschiedene LDI dürfte es zu Hauf geben. Dass die alle zeitnah bearbeitet werden, bezweifle ich. Da sitzt einfach zu wenig Personal und/oder die Prozesse sind zu lahm.
Unter anderem dadurch ist es inzwischen gefühlt zur Normalität geworden, dass Unternehmen wie oben genannt agieren. Ich gehe bei jeder Website, bei der ich mich registrieren muss, davon aus, dass meine Daten verschachert werden und mein Account bestehen bleibt, auch nachdem ich die Löschung veranlasst habe. Bleibt nur, seine eigenen Maßnahmen zu treffen und so wenig Daten wie möglich einzugeben. (Zugegeben, dürfte bei einer Personalvermittlung schwierig sein.) Leider sind die meisten Menschen herzlich wenig am Umgang ihrer persönlichen Daten durch Unternehmen interessiert.
> Landesbeauftragte Gayk: "Diese Beispiele zeigen, wie wichtig es ist, eine wirkungsvolle Aufsichtsbehörde zu haben. Datenschutz darf nicht von der Willkür Einzelner abhängig sein."
Eine Schwalbe macht noch lange keinen Sommer. Mir sind namentlich etliche mittelständische Unternehmen bekannt, die längst die Kontrolle verloren haben bzw. nie wirklich darüber hatten, welche Daten in Ihren CRM-Datenbanken eine Einwilligung zur Verabreitung haben oder nicht. Es fehlen ja allein schon die entsprechenden Datenbankfelder.
Alles scheiß egal, passiert ja nichts… und selbst wenn eine Löschung käme, die Daten sind längst an Werbebuden weitergegeben, die das ebenfalls nicht wissen…
Die traurige Wahrheit ist: Die Daten sind verbrannt… alle wissen das, aber tun dann verwundert, wenn mal das LDI handelt…
Dann soll se mal Ihre Gemeinden und Städte verklagen (geht ja nicht, weil dort die DGSVO nicht "gilt"). Wie viele erfolgreiche Hacks gab es da? Ihr und unsere Daten sind doch schon längst im Darknet gelandet oder was denken Sie?
Betr. "Mir sind namentlich etliche mittelständische Unternehmen bekannt, die längst die Kontrolle verloren haben bzw. nie wirklich darüber hatten, welche Daten in Ihren CRM-Datenbanken eine Einwilligung zur Verabreitung haben oder nicht. Es fehlen ja allein schon die entsprechenden Datenbankfelder. ":
Wohl war. Schnelle Suche nach entsprechend konzipierten Systeme hat nur (1) ergeben.
_
(1) https://www.zoho.com/de/crm/help/gdpr/consent-management.html
In Sachen Office 365 an Schulen und dem rechtswidrigen Einsatz von selbigem ist es mit der „wirkungsvollen Aufsichtsbehörde" in NRW nicht weit her (siehe dazu auch https://blog.fahl-secure.de/post/abberufung/).
Rechtswidrig sagt wer? Gibt es dazu eine Rechtsprechung/Urteil? Mir ist keines bekannt.
Entgegen einem verbreiteten Irrtum können Aussagen über die Rechtswidrigkeit eines Tuns oder Unterlassens auch ohne Vorliegen von Gesetzen und insb. Urteilen getroffen werden. Aber wir wollen hier keine Rechtsdogmatik treiben.
In Anbetracht der in (1) gegebenen Antwort auf die Frage "Wie sieht die datenschutzrechtliche Bewertung von Microsoft 365 für den schulischen Einsatz in NRW aus?" habe ich jedenfalls nicht den Eindruck, dass befasste Stellen den Einsatz als rechtskonform qualifizieren.
Windelweich ist insb. folgender Teil der Antwort: "Andererseits ist zu berücksichtigen, dass es sich bei der Produktfamilie MS 365 um in Wirtschaft und Verwaltung weit verbreitete Anwendungen handelt. Insofern ist zu berücksichtigen, dass der Bildungs- und Erziehungsauftrag von Schule (§ 2 SchulG) auch den Aspekt des digitalen Kompetenzerwerbs beinhaltet, um für ein Studium und für berufliche Handlungsfähigkeit in einer digitalisierten Welt zu befähigen.".
Eine solche Bürokratie weiss sich jedweder Macht (auch Marktmacht) anzudienen.
_
(1) https://www.schulministerium.nrw/fragen-und-antworten-zum-datenschutz
'tschuldigung, aber 35000 € sind keine Strafe, sondern eine Gebühr.
Das entspricht grob dem Gegenwert von gerade einmal zwei Vermittlungen.
+ Betr. "Einen ähnlichen Fall hatte mir ein Leser im Zusammenhang mit der Telekom geschildert. Obwohl seit über 10 Jahren kein Telekom-Kunde mehr, bekam er Mails des Unternehmens.":
Da würde mich mal interessieren, wieso hier der Nennung der inkriminierten Partei (Telekom) nichts entgegen steht, im Falle der mit einem Bussgeld belegten Personalvermittlung der Name der Delinquentin aber im Dunkeln bleibt.
+ Betr. "Die Firma ignorierte jedoch nicht nur die zu Recht geltend gemachten Ansprüche der Beschwerdeführer. Sie reagierte auch nicht auf Schreiben der LDI NRW, …":
Bei diesem groben Klotz könnte man doch mal den groben Keil einer Gewerbeuntersagung erwägen und nicht bloss 'DS-GVO-Theater' inszenieren. Denn wie Forist PhilipS ganz zutreffend anmerkte, kann den verhängten 35000 Euro kaum spezialpräventive Wirkung beigemessen werden. Vulgo: Die lachen sich einen in 's Fäustchen und machen weiter wie bisher.
Die Antwort ist ganz einfach: Im Fall der deutsche Telekom war ich über den Leser involviert und habe diesen am Rande bzgl. der Vorgehensweise über den Datenschutzbeauftragten des Bundes beraten – am Ende haben wir uns dagegen entschieden, das in einem Blog-Artikel mit Details offen zu legen (zumal ich nicht unter Themen leide, und die Deutsche Telekom der Sache nachgegangen ist, und am Ende ihre Datenbanken bereinigen konnte – und die Rechtsauffassung nach Hinweis auf den BfDI auch korrigierte).
Bei obigem Fall liegt mir nur die Information der LDI NRW vor, die aber keinen Namen nennt. Manche Dinge können so einfach sein.
Sorry, war weder persönlich noch angriffig gemeint; meine Einlassung ist in der Form verunglückt.
Ich wollte ganz allgemein darauf hinaus, dass in Deutschland die Publizität der Strafbarkeit von Datenschutzverstössen m. E. prekär ist. Der wohlfeile Fingerzeig auf Millionenbussgelder insb. gegen US-Techriesen wirkt eher verschleiernd denn transparenzfördernd, wenn man die gesamte Dimension der Verstösse im Auge hat.
Schnelle Durchsicht von (1) zeigt, dass zumindest die Spanier viel offener mit der Bekanntgabe von Verstössen auch kleinerer Unternehmen inkl. Namensnennung umgehen. Filtert man hingegen nach "Deutschland", stösst man in der Spalte "Empfänger" fast durchgängig auf Anonymisierungen resp. Kategorisierungen, nicht aber im Beispielfall eines Grossen (2). Wie viel Ermessen, wie viel Willkür, wie viel Rücksichtnahmen sind hier im Spiel? Wie weit ist das Transparenzgebot auch rechtlich unterfüttert und dem Informationsinteresse von Verbrauchern und Öffentlichkeit Gewicht beigemessen?
_
(1) https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/
Navigationsleiste am unteren Rand beachten!
(2) https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-vodafone-2025-06-03-DE-4434.php
Hatte es nicht als Angriff verstanden, habe aber auch keine Probleme, die Hintergründe offen zu legen. Die LDI NRW wird juristische Gründe haben, keine Namen zu nennen. Ich selbst kenne keinen Namen und will auch nicht spekulieren.